Μετά το GDPR έρχεται το NIS Directive: Τι πρέπει να ξέρουν οι επιχειρήσεις για τη νέα Οδηγία ψηφιακής ασφάλειας

Ένα ακόμη ευρωπαϊκό εργαλείο προστίθεται στο ελληνικό «οπλοστάσιο» για την αντιμετώπιση των κυβερνοεπιθέσεων.

Της Αντιγόνης Γιαννακάκη*

Μετά τον Γενικό Κανονισμό Προστασία Δεδομένων (GDPR), ο οποίος ισχύει ήδη από την 25η Μαΐου 2018 και ήρθε για να αλλάξει την καθημερινή λειτουργία των επιχειρήσεων, σημαντικές αλλαγές στο επιχειρηματικό περιβάλλον φέρνει και o νόμος 4577/2018 με τον οποίο ενσωματώνεται στην Ελλάδα η Οδηγία 2016/1148/ΕΕ (NIS Directive) για την ενίσχυση του συνολικού επιπέδου της κυβερνοασφάλειας.

Με την ψήφιση του νόμου 4577/2018 για την ενσωμάτωση της οδηγίας αναδεικνύεται και σε εθνικό επίπεδο η προτεραιότητα στην ασφάλεια συστημάτων και υπηρεσιών δικτύων, υπηρεσιών δηλαδή που διαδραματίζουν σημαντικό ρόλο στην κοινωνία, καθώς μέσω των κυβερνοεπιθέσεων (cyber attacks) δεν θίγεται μόνο ο δημόσιος και ο ιδιωτικός τομέας, διαταράσσεται η εύρυθμη λειτουργία της οικονομίας και θίγεται ο πυρήνας της κοινωνικής ζωής. Με το νέο νόμο δίνεται επίσης ιδιαίτερη έμφαση στη συνεργασία των αρμόδιων εθνικών και διεθνών φορέων, με δεδομένο ότι η διεθνής διασυνοριακή εγκληματικότητα μπορεί να αντιμετωπιστεί μόνο μέσω της διεθνούς συνεργασίας.

Ειδικότερα ο νόμος 4577/2018 αφορά τους Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών, σε τομείς όπως η ενέργεια, οι μεταφορές, οι τράπεζες, οι υποδομές χρηματοπιστωτικών αγορών, ο τομέας της υγείας, η προμήθεια και διανομή πόσιμου νερού, η ψηφιακή υποδομή, αλλά και τους Παρόχους Ψηφιακών Υπηρεσιών. Οι οργανισμοί αυτοί παρέχουν υπηρεσία ουσιώδη τόσο για τη διατήρηση κρίσιμων κοινωνικών και οικονομικών δραστηριοτήτων όσο και για την λειτουργία της εσωτερικής αγοράς, καθώς στηρίζονται σε συστήματα δικτύου και πληροφοριών, και κινδυνεύουν από πρόκληση σοβαρής διατάραξης της παροχής των υπηρεσιών τους από τυχόν κακόβουλο συμβάν. Οι «Φορείς» εκμετάλλευσης βασικών υπηρεσιών και οι «Πάροχοι» ψηφιακών υπηρεσιών πρέπει να λαμβάνουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την διαχείριση των κινδύνων, την αποτροπή και την ελαχιστοποίηση του αντικτύπου συμβάντων που επηρεάζουν την ασφάλεια των συστημάτων δικτύων και πληροφοριών. Παράλληλα, είναι υποχρεωμένοι να κοινοποιούν στην Εθνική Αρχή Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης και στην Αρμόδια «Ομάδα Απόκρισης» του ΓΕΕΘΑ συμβάντα με σοβαρές επιπτώσεις στην παροχή της υπηρεσίας που παρέχουν.

Σύμφωνα με το νέο νόμο, λαμβανομένης υπόψη της αρχής της αναλογικότητας, ορίζονται κυρώσεις για τη μη συμμόρφωση των Οργανισμών. Ειδικότερα, ορίζεται ότι ο Υπουργός Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης, ύστερα από Εισήγηση της Εθνικής Αρχής Κυβερνοασφάλειας, επιβάλλει πρόστιμο μέχρι του ποσού των 200.000 ευρώ σε περίπτωση που διαπιστωθεί ότι ο υπόχρεος Φορέας δεν κοινοποιεί ή κοινοποιεί με αδικαιολόγητη καθυστέρηση συμβάν με σοβαρό αντίκτυπο στην συνέχεια των βασικών υπηρεσιών του, ή αν διαπιστωθεί ότι ο υπόχρεος φορέας δεν λαμβάνει τα κατάλληλα και αναλογικά, τεχνικά και οργανωτικά, προληπτικά μέτρα για την διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και των συστημάτων πληροφοριών, ή αν δεν παρέχει ή παρέχει με αδικαιολόγητη καθυστέρηση τις απαραίτητες πληροφορίες στην Εθνική Αρχή Κυβερνοασφάλειας.

Είναι γεγονός ότι οι κυβερνοεπιθέσεις αποτελούν πλέον καθημερινότητα για τις επιχειρήσεις και τους δημόσιους οργανισμούς. Επιπλέον είναι βέβαιο ότι μέσω ενός κακόβουλου λογισμικού (malware) ή μέσω της αποστολής ηλεκτρονικών μηνυμάτων «ψαρέματος» (phishing e-mail) μπορεί να επηρεαστεί, ακόμη και να διακοπεί, η λειτουργία οποιουδήποτε Οργανισμού.

Αναμφίβολα, οι κυβερνοεπιθέσεις αποτελούν σήμερα μια από τις βασικές ανησυχίες των διοικήσεων των εταιρειών, καθώς μπορούν να οδηγήσουν σε οικονομικές απώλειες, αλλά και σε σοβαρότατο πλήγμα στη φήμη της επιχείρησης. Λαμβάνοντας υπόψη τα παραπάνω η λήψη ενεργητικών μέτρων ασφάλειας για την προστασία των δεδομένων οποιασδήποτε επιχείρησης και την ενίσχυση του επιπέδου ασφάλειας του κυβερνοχώρου, δεν είναι απλώς ζήτημα συμμόρφωσης με τις απαιτήσεις του εθνικού νόμου και της Οδηγίας, αλλά ζήτημα επιβίωσης.

antigoni _0349*Δικηγόρος, Κ. Παπακωστόπουλος & Συνεργάτες Δικηγορική εταιρεία (CPA Law), ανεξάρτητο μέλος του νομικού και φορολογικού δικτύου της KPMG)